[English]Sicherheitsforscher sind im Internet auf einen fehlkonfigurierten Microsoft Azure-Blob-Storage gestoßen, der sensible interne Informationen zu einer Präsentation für Microsoft Dynamics offen legt. Andere Firmen haben sich wohl für ein Projekt oder eine Partnerschaft bei Microsoft Dynamics beworben, um ihre Produkte zu integrieren. Den Daten nach gehört der Datenbestand zu Microsoft.
Anzeige
Wenn ich hier über Datenlecks oder Hacks berichte, gehen mir immer zwei Sachen durch den Kopf. Da ist einmal der Gedanke: Ok, das sind irgendwie Firmen, die das Thema Sicherheit noch nicht verinnerlicht haben und bei diesem Thema patzen. Etwas schwingt auch "selbst schuld" mit, welches mir von der Blog-Leserschaft entgegen geschleudert wird, wenn ich mal wieder über Datenlecks oder Sicherheitsvorfälle bei Unternehmen berichte. Die Hoffnung ist, dass Firmen wie Apple, Google, Microsoft das alles bestens im Griff haben.
Andererseits ist mir das Bonmot "Es gibt nur Firmen, die gehackt wurden, und die, die es noch nicht gemerkt haben" bekannt. Und ich denke mir beim "selbst schuld": Die Technik ist teilweise so komplex, die duldet keine Fehler. Und Fehler passieren unweigerlich früher oder später, so dass auch größere Firmen Opfer von Hacks und Datenlecks werden.
Microsoft Dynamics, eine Einordnung
Microsoft Dynamics ist eine Suite integrierter Unternehmensprodukte und Softwareanwendungen, die von Microsoft für große Unternehmen angeboten werden, die hauptsächlich in den Bereichen Finanzdienstleistungen, Einzelhandel, öffentlicher Sektor und Fertigung tätig sind. Viele der Produkte, die unter der Marke Microsoft Dynamics verkauft werden, wurden von kleinen unabhängigen Softwareunternehmen entwickelt und von Microsoft aufgekauft. Das Unternehmen hat dann jedes dieser separaten Produkte in eine einzige Produktlinie integriert. Das sollte man für nachfolgende Ausführung im Hinterkopf behalten.
Datenleck einer Dynamics-Präsentation
Sicherheitsforscher von vpnMentor haben kürzlich einen fehlkonfigurierten Microsoft Azure-Blob-Speicher mit sensiblen internen Informationen aus dem Dynamics-Umfeld entdeckt. Bei der Datenpanne wurde öffentlich, welches Unternehmen bei einem sogenannten Pitch Microsoft Lösungen für Microsoft Dynamics angeboten haben. Im Microsoft Azure-Blob-Speicher fanden sich Unternehmensdaten, Produktbeschreibungen, Produktcodes, hartkodierte Passwörter und mehr. Die Sicherheitsforscher gehen nach Sichtung der Daten davon aus, dass dieser Azure-Server vermutlich von Microsoft selbst falsch konfiguriert worden war.
Anzeige
Der Microsoft Azure-Blob-Speicher umfasst eine Größe von 63 GByte und war gänzlich ungesichert. So konnte jeder, der die URL kannte, den Inhalt ohne besondere Hacker-Fähigkeiten einsetzen. Die Dateien schienen aus einer Reihe von Pitches zu stammen, die von zahlreichen Unternehmen im Rahmen von Präsentationen (Pitches) an die Microsoft Dynamics-Gruppe gerichtet wurden. Es scheint sich um ein Projekt oder eine Partnerschaft gehandelt zu haben, für das sich die Unternehmen bewarben. Viele der Pitches enthielten die Quellcodes für Softwareprodukte – von denen einige schließlich auf den Markt gebracht wurden.
Der Speicher umfasste mehr als 3.800 Dateien mit Daten von Januar bis September 2016. Entdeckt wurde das Ganze am 7. Januar 2021, wobei das Unternehmen KPMG am 11. Januar und Microsoft am 12. Januar 2021 informiert wurden. So ganz klar scheint mit nicht, wer der Besitzer des Azure-Speichers gewesen ist. Am 23. Februar 2021 war der Microsoft Azure-Blob-Speicher wohl wieder gesichert. Die genauen Details dieses Datenlecks lassen sich in diesem vpnMentor-Blog-Beitrag nachlesen.
Anzeige
Ich finde gut, wie Sie in diesem Fall die Sicherheitslage darstellen. Kein reißerisches "alles kaputt" (obwohl es das letztlich ist), sondern, dass diese IT-Landschaft einfach zu komplex geworden ist, als dass man das noch durchschauen kann, "gewachsene Strukturen", hier und da und dort immer noch was dazu geflickt. Zu viele Systeme, zu viele Personen, die das alles betreiben und absichern müssen, involviert, irgendjemand wird es schon tun, und dann eine Verkettung unglücklicher Umstände, niemand hat das im Blick, und schon steht Quellcode von Geschäftsanwendungen offen im Internet.
Über das "alles kaputt" bin ich längst hinaus (gelegentliche Rückfälle mag ich nicht ausschließen, wenn mir die neuesten Exzerpte aus Redmond mit begleitendem Marketing-Geklingel vor die Füße gekippt werden).
Was mir viel mehr Sorgen bereitet: Wir sind auf dem Durchmarsch in die Digitalisierung – wo ich das Gefühl "Du selbst hast nicht wirklich viel Ahnung von den tangierten Sicherheitsthemen, aber unter den Blinden bist Du als Einäugiger König" nicht los werde.
SteuerID als persönliches Identifikationsmerkmal, eGK und Patientenpass, wenn ich mich mit einem Bekannten unterhalte, der aktuell versucht, diverse Sachen bei meinem Hausarzt ans Laufen zu bringen, sträuben sich mir die Haare. Gleiches gilt, wenn ich mich mit Patrick über das Thema Datenschutz unterhalte – da bin ich quasi ein Naivling, der an das Gute in den Behörden glaubt.
Personalausweis-Identifikation auf dem Smartphone (da muss ich noch meinen längst geplanten Artikel zusammen klöppeln) und Digitale-Verwaltung (mit 0 Ahnung) … mehr braucht es nicht für die kommenden Katastrophen.
Hinzu kommen Sicherheitslücken über Sicherheitslücken, sowie Produkte, die nach 4-5 Jahren aus dem Support fallen – dazu eine Horde blauäugiger Mitbürger, die von WhatsApp über was weiß ich ihr gut gefülltes Adressbuch mit Freunden und Kontakten offen legen.
Da wird noch viel auf uns zukommen – und es gilt "mitgegangen, mitgefangen". Nur kann niemand auf diesem Weg schlicht stehen bleiben – höchstens versuchen, langsamer zu gehen. Denkt in 5 Jahren an meine Worte …
„mitgegangen, mitgefangen", das ist gut. Ich bin selbst immer wieder überrascht und schockiert, wie das mit dem Schwenk in die Cloud so funktioniert. Von "das machen wir niemals" über Nacht hin zu "wir machen das jetzt alles mit Google/Azure/AWS", und das dann auch noch ohne Offline-Sicherung/Fallback-Möglichkeit. Man gibt die Verantwortung aus der Hand, und wenns am Ende mal knallt, hat man sie (die Verantwortung dafür dass es geknallt hat) wenigstens nicht mehr, haben ja schließlich alles so gemacht, und es hat überall geknallt, wer hätte das denn ahnen können? Als nächstes werden wohl die Windows-Desktops in der Cloud virtualisiert, egal ob im Geschäftsumfeld oder privat als Daddelkiste. Mal sehen, auf welche abgefahrenen Ideen die Leute noch kommen, SteuerID mit dem Microsoft-Account verbinden wäre doch mal nett, oder?
"Als nächstes werden wohl die Windows-Desktops in der Cloud virtualisiert, egal ob im Geschäftsumfeld oder privat als Daddelkiste."
Das wird im Laufe des Jahrzehnts definitiv kommen. Zusammen mit einem Zwang zu Apps mit Abos. Ist für die Firmen eine absolute Goldgrube. Sowohl von den Einnahmen her als auch von den Informationen her, die sie frei Haus geliefert bekommen und weiter verarbeiten können.
Immerhin muss man sich dann keine Gedanken mehr um Hardwarepreise machen. ;)
Zu Als nächstes werden wohl die Windows-Desktops in der Cloud virtualisiert, egal ob im Geschäftsumfeld oder privat als Daddelkiste.:
Sollen sie machen dann ist bei mir endlich der Leidensdruck groß genug geworden Windows von der Daddelkiste zu verbannen :)
Das wird sicher nicht so schlimm wie die Firewall Migration von pfsense zu OPNsense :D
Tja, das Datensammeln ist das Goldschürfen des digitalen Zeitalters. Mir macht das auch große Sorge.
Meiner Meinung nach muss jetzt nicht zwingend alles und auf Teufel komm raus digitalisiert werden. Vor allem bei solchen hoch sensiblen Dingen wie die Patientendaten.
Da wäre das analoge Ablegen der Akten nach guter alter Sitte der bessere Weg.
Denn was nützen noch so hohe Sicherheitsmaßnahmen und Vorkehrungen, wenn die Datenkraken immer mindestens einen Schritt voraus sind? Von kriminellen Machenschaften mal ganz abgesehen.
Mir fällt zu diesem Thema auch nicht sonderlich viel ein, außer, mit möglichst hoher Wachsamkeit durch die digitalisierte Welt zu schreiten. Aber da ist das Stolpern schon vorprogrammiert.
Seit wann macht dir das Sorgen? Sonst findest du es doch ganz ok wenn dich und eine andere gewisse Firma, die Dreh- und Angelpunkt ist, ausspionieren kann und mehr über dich wissen als du selbst. Ach ja, jetzt fällt es mir wieder ein…
"…Personalausweis-Identifikation auf dem Smartphone (da muss ich noch meinen längst geplanten Artikel zusammen klöppeln) und Digitale-Verwaltung (mit 0 Ahnung) … mehr braucht es nicht für die kommenden Katastrophen…."
Ich hatte mir zum testen mal eine Vodafone CallYa Digital bestellt. online bei der Registrierung macht man sich ja schon nackt, aber als die Karte dann angekommen ist sollte ich mir im Android Store eine fremd -App "Authada" runter laden und meine Daten eingeben. Zum Schluss dann NFC aktivieren und meinen Perso dahinter halten. Den dazugehörigen Transport Pin eingeben und könnte so die Karte freischalten. WTF? Wer macht sowas?
"Wer macht sowas?"
Also ich nicht. Bei meinem Ausweis sind derartige Funktionen nämlich deaktiviert. Unabhängig davon dürften die meisten Kunden an dieser Prozedur scheitern.
Das mit dem Deaktivieren geht beim nächsten Perso nicht mehr, wenn man jetzt einen neuen bestellt. Hilft nur noch Alufolie.
Ist halt auch Vodafone :) Ich weiß nicht aber bei denen habe ich immer das Gefühl die überlegen sich wie man das extra eklig für die Kunden machen kann.
Die Telekom macht die Authentifizierung selber per Webcam und eigener Mitarbeiter. Selbst ja Mobil macht das besser. Da bekommt man einen Code für das Postident von der Post. Da kann man dann entweder in die Filiale eiern oder man installiert die Postidentapp und macht das dann per Smartphone und NFC. Letzteres fand ich dabei eigentlich sogar recht angenehm war in Sekunden durch und die SIM dann auch sofort aktiv.
@Was mir viel mehr Sorgen bereitet…
Sorge Dich nicht – lebe! ;-)